Smartphones, wearables og endda biler, der bruger Samsungs Exynos chipsæt kunne risikere at blive angrebet efter opdagelsen af 18 zero-day sårbarheder af Googles Project Zero.
Søgegigantens fejljagthold opdagede og rapporterede fejlene mellem slutningen af sidste år og begyndelsen af dette år. Mens nogle allerede er blevet rettet, har andre endnu ikke modtaget en rettelse.
Af de 18 opdagede nul-dage fejl, anses fire for at være ekstremt alvorlige, da de kunne tillade, at kode kan udføres eksternt. For at gøre tingene værre, kræver disse Internet-til-baseband remote code execution (RCE) fejl ikke brugerinteraktion for at blive udnyttet.
I en sikkerhedsrådgivning (åbner i ny fane) beskriver en af sårbarhederne (sporet som CVE-2023-24033 (åbner i ny fane)), gav Samsung yderligere detaljer om fejlen og sagde: “Basebåndssoftwaren kontrollerer ikke korrekt formattyperne for accept-type-attributten specificeret af SDP, hvilket kan føre til lammelsesangreb eller kørsel af kode i Samsung Baseband Modem.”
Det er værd at bemærke, at bedste Samsung telefoner solgt i USA påvirkes ikke, da de bruger Qualcomms modemer i modsætning til dem, der er lavet af Samsung selv. Stadig, Googles egne Pixel-enheder og endda nogle af de bedste Samsung ure der bruger Exynos-chipsæt er.
Sårbare Samsung- og Pixel-telefoner
I en blogindlæg (åbner i ny fane)leder af Project Zero Tim Willis forklarede, at Googles team udførte test for at bekræfte, at de fire mest alvorlige nul-dage-fejl kunne give en angriber mulighed for eksternt at kompromittere en sårbar Samsung- eller Pixel-enhed “på basisbåndsniveau uden brugerinteraktion.”
I stedet for at bruge malware eller en ondsindet app til at få første adgang til et offers enhed, skal en angriber blot kende sit telefonnummer.
De resterende fjorten andre nul-dages sårbarheder i Samsungs Exynos-chips er ikke nær så alvorlige, og for at udnytte dem ville en angriber have brug for lokal adgang til en sårbar smartphone eller være afhængig af hjælp fra en ondsindet mobilnetværksoperatør.
Samsung Semiconductor har sammensat en liste over alle de berørte Exynos-chipsæt, som kan findes i dets sikkerhedsrådgivning ovenfor. Men baseret på Project Zeros forskning er følgende smartphones berørt:
- Samsung S22
- Samsung M33
- Samsung M13
- Samsung M12
- Samsung A71
- Samsung A53
- Samsung A33
- Samsung A21s
- Samsung A13
- Samsung A12
- Samsung A04
- Vivo S16
- Vivo S15
- Vivo S6
- Vivo X70
- Vivo X60
- Vivo X30
- Pixel 6
- Pixel 6 Pro
- Pixel 6a
- Pixel 7
- Pixel 7 Pro
Som vi nævnte ovenfor, er det kun Samsung-telefoner, der sælges i Europa og Korea, der typisk bruger virksomhedens egne Exynos-chipsæt. Dem, der sælges i USA, gør det ikke, men Samsungs smartwatches inklusive Samsung Galaxy Watch 5 og andre gør. Ligeledes er ethvert køretøj, der bruger Samsungs Exynos Auto T5123-chipsæt, også påvirket af disse fejl.
Nogle enheder er rettet, og der er en løsning for andre
Ifølge Bleeping Computer (åbner i ny fane), Samsung er allerede kommet med sikkerhedsopdateringer, der adresserer disse sårbarheder og har sendt dem til leverandører, der bruger de berørte chipsæt i deres enheder. Patcherne er dog ikke offentlige endnu og kan ikke anvendes af alle berørte brugere.
Nogle enhedsproducenter er dog allerede begyndt at udrulle dem, inklusive Google, som rettede internet-til-baseband RCE-fejlene i sin marts 2023 sikkerhedsopdateringer til Pixel-telefoner.
For dem, der ejer en berørt enhed, der ikke er blevet opdateret endnu, har Project Zero en løsning. Indtil du modtager sikkerhedsopdateringen, der retter disse nul-dages fejl, bør du deaktivere både Wi-Fi-opkald og Voice-over-LTE (VoLTE), da dette er den primære angrebsvektor, der ville blive brugt til at udnytte dem.
Når opdateringerne dog bliver tilgængelige, bør du installere dem med det samme, da angribere kunne arbejde på måder at udnytte disse fejl i deres angreb, nu hvor deres eksistens er blevet offentliggjort.
- Samsung gjorde Google forlegen med et ekstra års Android-sikkerhedsopdateringer
- Android 14 øger beskyttelsen mod mobil malware – hvad du behøver at vide
- Xenomorph Android malware kan stjæle adgangskoder fra 400 bankapps
